Articles

Impegnarsi in OverTheWires Wargames

Alt Text

OverTheWire offre una collezione di wargame progettati per aiutarti a imparare e praticare i concetti di sicurezza oltre a promuovere ed esercitare un particolare modo di pensare. Pensare fuori dagli schemi è, indiscutibilmente, un’abilità hacker o codificatori più potente. Ci sono un milione e uno script e altri strumenti là fuori e tutti sono estremamente facili da usare rispetto allo sviluppo di questa capacità. Anche se si ha la conoscenza di scrivere da soli si avrà ancora bisogno del necessario street-smarts per ottenere il risultato desiderato. Sviluppare questa mentalità ti aiuterà a risolvere i problemi per il resto della tua vita.

Alt Text

Il primo wargame di OverTheWire intitolato ‘Bandit’ è rivolto ai principianti assoluti. Essa vi insegnerà le basi è necessario conoscere al fine di impegnarsi con i loro altri wargames che aumentano di difficoltà, come ci si sposta i livelli. Bandit ti insegnerà a usare una shell Linux, connessioni remote e SSH (secure shell). Se non si ha familiarità con SSH fornirò una spiegazione molto breve. La prima iterazione di SSH (SSH-1) è stata sviluppata da Tatu Ylönen presso l’Università di Tecnologia di Helsinki. La sua creazione è stata richiesta da un attacco di sniffing della password sulla rete universitaria. SSH è un protocollo di rete crittografico per il funzionamento di servizi di rete in modo sicuro su una rete non protetta. In genere si tratta di cose come la riga di comando remota, il login e l’esecuzione di comandi remoti. Qualsiasi servizio di rete può essere protetto con SSH. E ‘ stato progettato come un sostituto per Telnet e altri (insicuri) protocolli shell remoti. Prima di SSH quei protocolli inviavano informazioni (come le password) in testo semplice che li rendevano suscettibili di intercettazione attraverso l’analisi dei pacchetti. L’analisi dei pacchetti sarà un post sul blog futuro? Chi lo sa.

I giochi di OverTheWire sono organizzati in livelli ed è destinato a completare il livello precedente prima di avanzare. A differenza delle partite di hacking CTF (capture the flag) di “red team vs blue team”, la suite di wargame OverTheWire è giocata da sola, quindi c’è molto meno “overhead organizzativo” necessario per iniziare le cose. I veri amici sono sopravvalutati comunque. Tutti sanno da Mr. Robot che i super-leet hanno quelli immaginari. Allarme spoiler.

Bandit ha attualmente 34 livelli. L’ordine suggerito per giocare i giochi è quello di iniziare lì al livello 0, poi una volta che avete lavorato attraverso di essa passare a uno Leviatano, Natas, o Krypton. Dopo di che suggeriscono Narnia, Behemoth, Utumno e Maze in quell’ordine. Ci sono anche Vortex, Semtex, Manpage e Drifter. Bandit è progettato per familiarizzare l’utente con la riga di comando e SSH e impostare con alcune delle competenze necessarie per i giochi successivi. In Narnia l’utente è familiarizzato con lo sfruttamento di base. Ti viene fornito il codice sorgente di ogni livello in Narnia per rendere più facile trovare le vulnerabilità. Behemoth si occupa di errori di codifica comuni come overflow del buffer, condizioni di gara e escalation dei privilegi. La maggior parte dei giochi per principianti non richiede un’esperienza di codifica precedente, ma diventerà sicuramente utile man mano che avanzi. Ogni gioco shell ha una propria porta SSH e questi wargames sono un ottimo modo per familiarizzare con la riga di comando e concetti generali di sicurezza della rete.

Per iniziare con ‘Bandit’ avrai bisogno di SSH. L’host èbandit.labs.overthewire.org sulla porta2220 con un login e una password dibandit0. La connessione è possibile tramite la riga di comando con:
ssh -l bandit0 -p 2220 bandit.labs.overthewire.org

Per gli utenti di Ubuntu è possibile installare il server SSH con:

sudo apt update
sudo apt upgrade
sudo apt install openssh-server

Per Windows (non WSL), agli utenti sarà necessario scaricare PuTTY qui:
https://www.putty.org

OverTheWire utilizza, inoltre, un quadro di valutazione richiamato dall’ wechall comando nella shell SSH. È fornito da WeChall a https://www.wechall.net. Per utilizzare il tabellone vai al sito Web di WeChall e registrati per un account. Vai a AccountquindiWarBoxes per ottenere il tuo token. Modificare il ~/.bashrc aggiunta di:
export WECHALLUSER="YourUserName"
export WECHALLTOKEN="YOUR-WECHALL-TOKEN-HERE"

successivamente, modificare il ~/.ssh/config e aggiunge:
Host *.labs.overthewire.org
SendEnv WECHALLTOKEN
SendEnv WECHALLUSER

Ulteriori informazioni:
https://overthewire.org/wargames/

Please do not hesitate to contact me if there is a particular subject you would like covered in a future blog post.